IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
  • @IT
  • ITmedia エンタープライズ
  • ITmedia マーケティング
  • TechTarget
  • キーマンズネット

日本シノプシス合同会社

製品資料

日本シノプシス合同会社

OSS利用に不可欠な脆弱性検索やパッチ管理、NVDよりも確実&迅速な方法とは?

脆弱性をユーザーが主体的にチェックする必要があるOSS。膨大な数の脆弱性を検出/特定し、深刻度の判断やパッチ管理を最適化するにはどんな方法が最適か。重視すべき4つの要素とともに、NVDを活用するより確実で迅速な方法を紹介する。

コンテンツ情報
公開日 2021/04/07 フォーマット PDF 種類

製品資料

ページ数・視聴時間 9ページ ファイルサイズ 546KB
要約
 DevOpsの成功に欠かせない、オープンソースソフトウェア(OSS)。しかし、アップデートやパッチがベンダーからプッシュ配信される商用ソフトウェアとは異なり、OSSでは脆弱性をユーザーが主体的にチェックしなければならない。膨大な数の脆弱性を検出/特定し、深刻度の判断やパッチ管理の最適化を行うことは、容易なミッションではない。

 この問題を解消し、CI/CDパイプラインを乱すことなく脆弱性に対処するには、セキュリティに関する情報源、脆弱なコンポーネントの特定、脆弱性の優先付け、修正作業といった4つの要素が必要となる。その実現手段としてはNVD(脆弱性情報データベース)の活用が考えられるが、そもそもOSSの脆弱性への対処は想定されていないため、脆弱性の公開や修正アドバイスの情報源としては、完全性や迅速さにおいて不安もある。

 そこで注目したいのが、DevOpsツールチェーンに直接統合が可能で、脆弱性の特定に関する情報はもちろん、脅威の理解や対処に必要なデータと資料を専門家が提供する「オープンソース脆弱性レコード」だ。本資料では、その特長やNVDとの違い、活用事例を詳しく紹介しているので、参考にしてほしい。